Госдума приняла закон о праве граждан требовать удаления общедоступных персональных данных. Потребители смогут устанавливать условия использования сведений о них и запрещать передавать их третьим лицам.
В чем суть закона?
1
Общедоступные персональные данные — это те, которые содержатся в профилях в социальных сетях, на сайтах объявлений и так далее. Обычно это имя, фамилия, город проживания, телефон, электронная почта, личные фотографии. Владелец площадки в этом случае становится оператором, который обрабатывает данные о своих пользователях.
Нововведения запрещают операторам размещать и распространять такие персональные данные клиентов без их согласия. При этом согласие потребуется на каждое конкретное действие — передача данных третьим лицам, публикация в открытом доступе и пр. Получение согласия "по умолчанию" — просто по факту того, что человек заполнил профиль, не допускается. Согласие на обработку данных может даваться непосредственно оператору или через специальную информационную систему Роскомнадзора (которая скоро должна появиться). Также у операторов появится обязанность удалять профили пользователей по их первому требованию.
Что изменится?
2
Главное:
- Оператор, которому граждане предоставляют сведения о себе, должен получить разрешение на конкретные действия: размещение их в открытом доступе, передача третьим лицам и пр.
Сегодня вы даете разрешение на длинный перечень действий с вашими данными так — ставите галочку рядом с пунктом "разрешаю обработку". Мало кто читает текст согласия, в котором сказано, что оператор может делать со сведениями о вас.
Теперь оператор будет не предлагать поставить одну галочку, а спрашивать, какие данные можно публиковать и передавать сторонним компаниям. Предполагается, что пользователь сможет устанавливать условия этой обработки и запрещать передавать информацию о себе куда-то еще. По мнению Антона Горелкина, автора законопроекта, "люди впервые начнут задумываться, прежде чем дать согласие на обработку своих персональных данных в Сети". Пользователи, по мнению экспертов, публикуют о себе слишком много личной информации.
- Закон запрещает компаниям собирать общедоступные персональные данные из профилей в социальных сетях. Даже при условии, что аккаунты человека открыты.
- Граждане смогут потребовать от оператора удалить свои профили (речь, например, про соцсеть или сайт объявлений) и прекратить распространение своих персональных данных.
"Главное изменение — это возможность потребовать удаления всей информации о себе. Сейчас, если вы удаляете свой аккаунт в социальной сети, он просто перестает быть видимым. А вся информация о вас и ваших действиях на ресурсе сохраняется в системе и может быть использована как угодно, вас об этом не уведомят. Мой законопроект обяжет оператора в ответ на ваш запрос удалить вообще все данные, касающиеся вашей персоны", — пишет Антон Горелкин в своем Telegram-канале.
Что сделать, чтобы мои аккаунты на сайтах удалили?
3
В законе сказано, что можно обратиться с требованием напрямую к компании или отозвать их через систему Роскомнадзора, которой пока нет. Оператор обязан прекратить обработку персональных данных в течение трех рабочих дней с момента его получения или в срок, указанный во вступившем в законную силу решении суда.
Что об этом думает бизнес?
4
В начале декабря ассоциация больших данных (объединяет "Яндекс", Mail.ru Group, Сбербанк, Газпромбанк, мобильных операторов и др.) просила Госдуму не принимать этот законопроект, сообщает "Коммерсант". Компании опасаются, что закон усложнит обработку общедоступных персональных данных россиян.
"У уже зарегистрированных пользователей не нужно будет брать нового согласия, — уточняет Антон Горелкин. — При регистрации новых нужно будет получать от них согласие на обработку и распространение персональных данных. Кроме того, для всех пользователей — и новых, и уже зарегистрированных — нужно будет брать согласие при изменении условий работы с персональными данными (например, при изменениях пользовательского соглашения)".
Планируется, что закон вступит в силу с 1 марта 2021 года и будет действовать в отношении всех компаний, работающих на российском рынке. В том числе для сайтов нероссийского происхождения. "В случае игнорирования требований закона иностранные компании (как и российские) заплатят административный штраф, — говорит Антон Горелкин. — Рассчитываю, что административная ответственность за нарушения в сфере персональных данных со временем будет ужесточена".